H3C S5560X-EI 部署本地代理ARP+ARP Detection+端口隔离导致流量不通案例

拓扑如下图所示：

    PC1、PC2 属于同网段IP地址，分别直连S5560X-EI交换机G1/0/1和G1/0/2接口。

    PC1、PC2的网关为S5560X-EI Vlan-interface 12 接口192.168.1.1地址。

初始情况下，PC1与PC2 通信正常。

后续在S5560X-EI交换机上部署本地代理ARP+ARP Detection+端口隔离 功能后，PC1 与 PC2 之间无法通信。

新增“本地代理ARP+ARP Detection+端口隔离”功能后交换机关键配置如下：

    #

     vlan 12 

     arp detection enable   //使能ARP Detection功能

    #

     interface vlan 12

     ip address 192.168.1.1 255.255.255.0

     local-proxy-arp enable     //使能代理ARP功能

    #

     interface GigabitEthernet 1/0/1

     port access vlan 12

     port-isolate enable    //使能端口隔离功能

    #

     interface GigabitEthernet 1/0/2

     port access vlan 12

     port-isolate enable    //使能端口隔离功能

    #

当S5560X-EI交换机网关Vlan-interface 12接口下，使能本地代理ARP功能（local-proxy-arp enable ）后：

1.     PC1与PC2互访时，PC发送的广播ARP请求报文①。
2.     由于使能本地代理ARP功能，因此S5560X-EI 硬件芯片收到ARP报文后，全部重定向到 CPU②。
3.     S5560X-EI CPU 代理回应ARP报文③。

    后续PC1 与 PC2之间业务报文转发时，目的MAC=zzzz-zzzz-zzzz。

    S5560X-EI收到业务报文后，由于目的MAC为交换机本地MAC地址，因此不进行芯片硬件转发，而是CPU软件转发，PC1 与 PC2业务报文可正常通信（业务报文代理转发）。

在上述情况下，S5560X-EI 再使能 ARP Detection+端口隔离功能后：

1.     PC1访问PC2时，PC1发送的广播ARP请求报文。①
2.     S5560X-EI 硬件芯片收到后，先匹配ARP Detection 策略检查合法性通过后，将广播ARP请求报文从硬件芯片泛洪出去；②蓝色
3.     同时，由于本地代理ARP策略（ local-proxy-arp enable），S5560X-EI 硬件芯片收到ARP报文后，会Copy 一份到交换机 CPU；②红色
4.     S5560X-EI CPU 率先响应ARP报文，此时 PC1学习到PC2到ARP信息中，PC2的MAC = zzzz-zzzz-zzzz ；③
5.     之后，由于前期 ARP 报文走硬件泛洪出去，PC2 收到了PC1发送的广播ARP请求报文，PC2 进行回应，PC2的MAC = yyyy-yyyy-yyy；④
6.     S5560X-EI 收到PC2 回应的ARP报文后，通过硬件芯片转发给PC1，PC2的MAC = yyyy-yyyy-yyy。④
7.     因此，PC1 会再次收到关于PC2 MAC地址的ARP报文，最后 PC1学习到PC2到ARP更新为，PC2的MAC = yyyy-yyyy-yyy。

        PC2访问PC1时，ARP学习情况与上面描述一致，不再重复介绍。

    后续PC1 发送业务报文给PC2时，目的MAC=yyyy-yyyy-yyyy。

    S5560X-EI 收到报文后，由于目的MAC地址，非交换机本地MAC地址，因此芯片硬件转发。

    但是，由于G1/0/1 和G1/0/2两个接口（芯片硬件）使能了端口隔离功能，因此导致业务报文无法通信。

通过分析，我们了解到导致业务转发不通的根本原因是：

    报文硬件芯片转发时（报文目的MAC= yyyy-yyyy-yyyy），交换机芯片硬件上，端口隔离策略导致。

因此可通过以下两种方式解决：

    1、取消端口隔离策略；

    2、让业务报文不通过硬件芯片转发，全部通过软件CPU转发。

解决方法一：

    取消端口隔离功能，关键配置调整为:

    #

     vlan 12 

     arp detection enable   //使能ARP Detection功能

    #

     interface vlan 12

     ip address 192.168.1.1 255.255.255.0

     local-proxy-arp enable     //使能代理ARP功能

    #

     interface GigabitEthernet 1/0/1

     port access vlan 12

    #

     interface GigabitEthernet 1/0/2

     port access vlan 12

    #

解决方法二：

    使能ARP强制转发功能arp restricted-forwarding enable，关键配置调整为：

    #

     vlan 12 

     arp detection enable

     arp restricted-forwarding enable  //增加ARP强制转发功能

    #

     interface vlan 12

     ip address 192.168.1.1 255.255.255.0

     local-proxy-arp enable

    #

     interface GigabitEthernet 1/0/1

     port access vlan 12

     port-isolate enable

    #

     interface GigabitEthernet 1/0/2

     port access vlan 12

     port-isolate enable

    #

    增加ARP强制转发功能后，PC1与PC2要互访时：

1.     PC发送的ARP报文，S5560X-EI收到后，先匹配ARP Detection检查ARP合法性通过；
2.     之后，根据ARP强制转发特性处理，及交换机芯片硬件只会将ARP报文发送给信任端口；
3.     由于S5560X-EI没有配置信任端口，因此芯片硬件不会将ARP报文通过芯片硬件泛洪；
4.     同时，由于本地代理ARP策略（ local-proxy-arp enable），S5560X-EI 硬件芯片收到ARP报文后，会Copy 一份到交换机 CPU；
5.     S5560X-EI CPU 响应ARP报文，因此PC1学习到PC2到ARP信息中，PC2的MAC = zzzz-zzzz-zzzz 。

    后续PC1 与 PC2之间业务报文转发时，目的MAC=zzzz-zzzz-zzzz。

    S5560X-EI收到业务报文后，由于目的MAC为交换机本地MAC地址

    因此不进行芯片硬件转发，而是CPU软件转发，PC1 与 PC2业务报文可正常通信（业务报文代理转发）。